lunedì 18 maggio 2009

chkrootkit: The following suspicious files and directories were found: /lib/init/rw/.ramfs

Quanti di voi, tra coloro che utilizzano chkrootkit, ricevono tutti i giorni la maledetta (quanto inutile) mail contenente le seguenti linee?:
The following suspicious files and directories were found:
/lib/init/rw/.ramfs

La Rete e' piena di battibecchi a questo proposito, cancellare il file non e' bello nei confronti dell'initscript che lo crea, dire a chkrootkit di non segnalarlo non e' bello in quanto a quel punto tutti gli hacker del mondo lo utilizzerebbero per metterci le peggiori schifezze del loro repertorio.
Il metodo che preferisco e' consentire a chkrootkit di segnalarlo, ma solo se di lunghezza diversa da zero.

Quella che segue e' una patch per una vecchia versione di chrootkit, e' ancora valida a condizione di applicare le modifiche indicate a manona senza fidarsi del comando patch:
@@ -705,7 +705,7 @@
if [ "${QUIET}" != "t" ]; then printn \
"Searching for suspicious files and dirs, it may take a while...
"; fi

- files=`${find} ${DIR} -name ".[A-Za-z]*" -o -name "...*" -o -name
".. *"`
+ files=`${find} ${DIR} \( -name ".[A-Za-z]*" -o -name "...*" -o -name
".. *" \) -and -not -empty`
dirs=`${find} ${DIR} -type d -name ".*"`
if [ "${files}" = "" -a "${dirs}" = "" ]
then

Nessun commento: